[정보보안기사 필기] 접근 통제 요약 정리 (1)

접근 통제란 정당하지 않은 사용자가 자원을 불법적으로 접근하는 것을 제한하고 정당한 방법만으로 자원에 접근 하도록 하는 것이다.

객체와 제반 환경을 보호하기 위한 보안 대책을 말한다 .

접근 통제의 3가지 요소에는 주체 ,객체,접근 이있다 .

주체	데이터에 대한 접근을 요청하는 능동적인 개체
객체	수동적인 개체
접근	읽고,수정,삭제 하는 주체 활동

접근통제 절차는 식별 ->인증->인가 순서로 

아이디(식별)->비밀번호(인증)->접근제어,권한제어(인가)로 표현 할 수 있다 .

식별	본인을 밝히는 것 , 책임 추적성에 중요한 증거
인증	사용증명으로 사용자를 인정
인가	인증된 사용자를 허용 하고 권리를 주는 과정

책임 추적성

문제 발생시 책임 소재 파악

최근에는 책임 추적성을 포함한 4단계가 추가되는 추세이다.

접근 통제 기본 원칙에는 직무분리 , 최소 권한이 있다 .

직무분리는 일을 할 때 처음부터 끝까지 한사람이 일을 끝까지 할 수 없게 하여 보안성을 높일 수 있고

최소권한은 일을 수행하기 위한 최소권한만을 부여하여 직무분리와 연계하여 보안성을 높일 수 있는 방법이다.

사용자 인증은 정보의 내용이 변조 나 삭제가 되었는지 와 송수신자가 정당한지 확인 하는 방법이다 .

메시지 인증은 메시지 내용이 변경이나 수정이 되지않고 정보의 무결성을 가지고 있음으 확인하는 방법이다 .

사용자인증은 개체인증이라 불리며 메시지 인증은 데이터-출처 인증으로 불린다.

Type1 (지식)	주체가 알고 있는것을 보여줌	패스워드
Type2 (소유)	주체가 가지고 있는 것을 보여줌	토큰
Type3 (존재)	추제가 나타내는것을 보여줌	생체인증
Type4 (행위)	주체가 하는 것을 보여줌	서명,전자서명
Two Factor	1~4중에 두가지 인증 결합	토큰+생체인증
Multi Factor	1~4중에 세가지 이상 인증 결합	토근+생체인증+패스워드

지식 기반 인증 기법은 사용자가 알고 있는 어떤 것에 의존하는 인증기법이다.

자신만이 알 수 있는 정보를 이용한 인증방법으로 신원정보를 제공하기위한 신원입증을 가능하게 한다. 

패스워드 기반의 인증방법은 가징 오래된 개체인증 방법이며 로그인시 사용된다.

패스워드 기반의 인증방법은 고정된 패스워드와 일회용 패스워드로 나누어 진다 .

고정된 패스워드	평문 그대로 저장하거나 암호화하여 저장된 값
일회용 패스워드	오직 한번만 사용되는 패스워드 (One Time password)

영지식 기술에 관한 영지식 인증을 알아보기전에 영지식 기술이란 무엇인가 알아보자 

영지식 기술은 Zero-Knowledge 기술로 네트워크 등 단서를 찾을 수 있는 것들을 0으로 만드는 기술이다.

이를 이용한 방법이 영지식 인증인데 영지식 기술을 사용하게 되면 노출위험성을 감수할 필요가 없게 된다 .

검증자에게 자신의 비밀을 노출 하지 않고 그 비밀을 알고 있다는 사실만을 증명하는 기술이다 .

즉, 영지식 증명은 검증자가 자신이 가진 비밀을 노출 하지 않고 자신이 그 비밀 정보를 알고 있음을 증명하는 프로토콜로 

스마트카드 및 원격지 로그인에서 사용자 식별에 사용된다. 영지식 증명은 정당성, 완전성, 영지식성을 만족해야한다.

(http://terms.naver.com/entry.nhn?docId=865286&cid=42346&categoryId=42346

http://terms.naver.com/entry.nhn?docId=865287&cid=42346&categoryId=42346)

네이버 백과 영지식 기술 ,증명 참조

패스워드 인증의 문제점은 개인정보와 연관되어 설정 해놓을 시 패스워드의 추측이 쉽고 해킹 툴을 사용하여 크랙이 쉽다.

이에대한 대책으로 I-PIN이 등장하였는데 아이핀은 회원가입시 본인인증에 필요한 주민등록번호를 직접 입력하는 것이 아니라 개인정보 유출의 위험성이 적다. 하지만 아이핀 정보를 해킹 당할 경우 피해가 크다는 단점이 있다 . 하지만 주민등록번호를 사용한 인증 보다는 안전하다는 점 .. 

소유기반을 둔 인증으로는 사용권한을 가진 ( 자격증 , 주민등록증 ) 것을 이용한 인증 기법이다 .

정보에 대한 신뢰서이 높으며 복잡한 생체 인증 기법보다 효과적이다 .

메모리 토큰은 RFID , 등등 간단한 정보를 가지고 보안 코드를 저장할 수 있으며 카드리더기를 통해서만 읽을 수 있다 .

다만 리더기만 가지면 누구나 읽을 수 있다는 단점과 잃어버리게 되면 행정적 비용이 발생하게된다. 

(최근에 읽은 해킹 시나리오 책에서는 RFID 카드의 주파수를 이용해 스캔하여 카드를 복제하는 시나리오를 본적이 있다 ... )

스마트 카드는 요즘 체크카드나 신용카드에 박혀있는 IC칩을 이용한 카드 이다 .

체크카드 한번 보면 네모모양의 칩이 끼워진 것을 볼 수 있다. 

이것은 마이크로 프로세스를 가진 것으로 3가지 메모리 타입을 포함 하고 있다 .

ROM	교유정보를 변하지 않고 저장 유지
EEPROM	교유 프로그램, 데이터 만을 유지
RAM	일시적으로 생성된 데이터 저장

스마트 카드 거래순서

스마트 카드 공격기법 

소프트웨어 공격	취약점을 이용한 공격 방법
마이크로 프로빙	카드의 ROM 칩에 신호를 주어 조작
도청기법	전자기파를 도청 하는 기법
장애 유발 기법	프로세스 오작동하도록 만드는 기법
부채널 공격	침입 공격이 아니며 문제점을 건들지 않고 어떻게 동작하는지에 대해 중요한 정보를 알아내기 위해 사용

OTP 는 일회용 비밀번호로 게임을 주로 이용한 사람들은 한번쯤 싸봤을 만한 기능이다 . 로그인 보안을 위한 일회용 패스워드를 추가로 

입력하여 사용한다. OTP 는 도청에 강하다 .

OTP 의 단점은 사용자 식별 정보 공유 또는 토근 장치,분실,악용등 여러 문제가 있다 .

생체인증에 대해 알아봅시다 .

생체 인증이란 각 개인의 고유한 신체나 행동 정보를 패스워드 처럼 인증에 사용하는 것을 말한다 .(ex. 홍체 , 지문, 표정,얼굴, 등등 )

생체 인증 기술은 보편성,유일성, 지속성, 획득성, 성능,수용성,기만성을 만족해야한다 .

보편성	모든 사람이 가졌는가
유일성	그 정보를 가진 다른 사람은 없는가
지속성	시간에 따른 변화가 없는가
획득성	측정이 가능한 정보인가
성능	환경변화에 따른 정확도는 어떤가
수용성	거부감이 없는가
기만성	고의적 부정사용에 대한 문제가 없는가

 

수용성의 예는 항문 인식이라던가 .. (있었습니다 ) 

기만성은 지문을 획득하기 위해 대상의 손가락을 자른다던가 .. (SF 추리소설 같은 것좀 많이 봤습니다 ) 

생체 인증의 정확도는 부정거부율(FRR)과 부정허용률(FAR)로 측정할 수 있다 .

부정거부율(FRR)은 총 시도 횟수중 몇번이나 거부가 되는가 

부정허용률(FAR)은 총 시도 횟수중 몇번이나 허용 되는가 이다 .

편의성을 요구할때는 FAR이 높아지고 FRR 은 낮아지고 

보안성을 요구할 때는 FRR은 높아지고 FAR은 낮아진다.

디바이스 인증 기술은 기기를 이용한 인증 방법이며 예를 들자면 스마트폰의 고유 번호를 가지고 기기의 정보를 식별하는 것 같은 기술을 생각하면 된다. 깊게 들어가면 기기 인증서 기반의 인증을 말한다. 

디바이스 인증 기술의 장점은 보안성,경제성, 상호연동성을 꼽을 수 있다.

보안성	검증된 보안 수준을 구축하여 보안성 제공
경제성	일관된 정책및 안정성을 이용한 비용 감소
상호연동성	기기간,서비스간의 상호연동

기기인증 기술의 예로는 무선공유기(SSID),RFID 등이 있다 .

RFID는 주파수 대역으로 이용하여 물체 등을 식별 할 수 있는 기술을 말한다.

RFID는 많이 쓰이는 만큼 공격 기법도 많다 .

도청	RFID는 편의상 좀 떨어진 거리에서도 통시이 가능하다 .  이를 악의적으로 이용한 공격이 가능하다느 뜻이다.
트래픽분석	트래픽 분석을 통해 위치 추적이 가능하다 .
위조	리더기와 태그 간의 통신에 잘못된 데이터가 서로 교환 가능
DoS	잦은 질의로 인해 반응해야하기에 서비스 공격이 가능하다.

RFID 보안 기술을 알아보자 

Kill 명령어	한번 쓰면 비활성화된 태그의 내용을 영구적으로 활용 할 수 없음
Sleep,Wake 명령어	태그의 기능을 잠시동안 정지
블로커 태그 기법	전용 IC 태그를 소지함으로써 IC 태그의 ID를 읽을 수 없게 함
Faraday cage	무선 신호 전달 방해
Jamming	불법적인 리더기의 접근을 막음

해시 락 기법	one-Way 해시 함수를 기반으로 접근제어
XOR OTP 기법	XOR 기반의 one time pad 기법

SSO(Single Sign On) 기법으로 통합 인증 체계로 불린다 .

SSO는 한번의 시스템 인증을 통해 재인증 없이 할 수 있게 하는 통합 로그인 솔루션이다 .

그러니까 SSO를 이용하면 한번 인증하면 모든 자원을 접속할 수 있게 하는 것이다 .

Kerberos는 인증 프로토콜이며 머리가 셋달린 케르베로스에서 유래된 것으로 대칭키 암호기법에 바탕을 둔 티켓 기반 인증 프로토콜이다 .

분산환경을 위한 SSO 의 한 예이며 이종 네트워크를 위한 표준이다.

커버로스는 사용자 인증 서버에서만 인증을 관리 하기 떄문에 강력한 보안 정책을 적용할 수 있다. 

커버로스는 3개의 인증서버를 사용한다 .

인증서버 (AS)	각 사용자는 인증 서버에 등록하고 ID,PW를 발급 받는다.
티켓 발급 서버 (TGS)	서버에게 티켓 발급
서버	사용자에게 서비스 제공

커버로스 구성요소

KDC	모든 사용자와 서비스에 대한 암호 키 보유
AS	인증
TGS	티켓 부여
Ticket	신원과 인증 확인
principals	인증을 위한 커버로스 프